Page
Vault
Creation du role admin utilisee : Pour la creation du role admin, il faut lui donner la possibilité faire un CRUD [create,read,update,delet] sur tous les chemin de Vault. Pour ca, on va se rendre sur la page policies pour creer une nouvelle policy. ![[jeaderPolicies.png]] Creation d'une Policy Pour la creation d'une policy, une fois sur la page policies, on va aller sur "Create ACL policy\" pour en créer une nouvelle. ![[listOfPolicies.png]] Le but de notre policy est de donner les droit admin…
Creation du role admin utilisee :
Pour la creation du role admin, il faut lui donner la possibilité faire un CRUD [create,read,update,delet] sur tous les chemin de Vault. Pour ca, on va se rendre sur la page policies pour creer une nouvelle policy. ![[jeaderPolicies.png]]
Creation d'une Policy
Pour la creation d'une policy, une fois sur la page policies, on va aller sur "Create ACL policy\" pour en créer une nouvelle. ![[listOfPolicies.png]] Le but de notre policy est de donner les droit admin a notre admin user que l'ont créer, donc il faut lui passer comme policy :
path "*" {
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}pour plus de precision, suivre cette discussion sur la question de creation d'utilisateurs : https://discuss.hashicorp.com/t/vault-administrator-user/72451/4 Maintenant, notre policy devrait etre visible : ![[listNewPolicies.png]]
Changer l'authentification de base
Pour changer l'acces de base a Vault, il faut aller dans Access > Authentication Methods > Enable new method, puis choisir la method appropriée.
Page d'accueil
![[VaultHomePageAccess.png]]
Page Access
![[EnableNewMethod.png]]
Page Enable new method
![[allMethods.png]]
Creation d'une connexion Userpass
Suite a ca, on va modifier la connexion de base a vault pour supprimer le token non securiser. Pour ca on va creer un userpass. Pour commencer il va falloir deployer les option de method. ![[userPassCreation.png]]
Method Option
Pour les options, on viens lui mettre une courte description sur son role afin de mieux s'y retrouver plus tard si plusieurs token venait a etre creer. Ensuite, on viens passer la preference de connexion pour qu'on ai le formulaire de userpass qui s'afiche sur la page de connexion et non le formulaire de Token. ![[useAsPreferedLogin.png]]
Une fois le formulaire valider, notre nouvelle authentification a été créer. On peux la retrouver directement dans Access. ![[methodsWithNewOne.png]]
Créer un nouvel utilisateur
Maintenant que la nouvelle connexion est mise, on va pouvoir passer a la creation d'un nouvel utilisateur. Pour ca, en cliquant sur notre nouvelle méthode d'authentification, on a la possibilité de créer un utilisateur, ce que l'ont va faire ![[listEmptyUser.png]]
On viens lui passer un username, un password, sans avoir besoin de passer le password hasher, car il le fait automatiquement. ![[createUser.png]]
Pour finir, on va deployer le Tokens puis cocher "Do Not Attach 'default' Policy To Generated Tokens" pour ne pas que le user prenne la "catégorie" default mais celle qu'on va lui attribuer en dessous. Enfin, on viens ajouter dans "Generated Token's Policies" la policy admin-policies pour que le bon groupe soit pris. Pour finir on enregistre et on se déconnecte.
Si tout a bien fonctionner, le formulaire devrait être en format user et pass. ![[newLoginConnexionForm.png]]
Et voila la connexion est plus sécuriser sur notre gestionnaire de token !!